Undersökningar och GDPR
Undersökningar och GDPR – hur fungerar det?
De flesta har vid det här laget hört talas om GDPR, EU:s nya dataskyddsförordning som trädde i kraft 25/5 i år. Inte minst har vi i förra veckan överösts av e-post där företag informerar oss konsumenter om de nya villkoren den nya förordningen för med sig.
Kortfattat handlar det om att reglerna kring lagring och användning av EU-medborgares personuppgifter har skärpts. En skillnad jämfört med PUL är att företag nu kan få betala vite om de inte efterföljer reglerna kring hantering av personuppgifter. Exempelvis kan de röra personuppgifter som sparas utan personens medgivande.
Undersökningar
Hur bör man då anpassa en undersökning utifrån GDPRs nya regler? Beroende på vad man ska undersöka och hur, kan detta skilja sig något från fall till fall. Vi beskriver här endast hur P&M anpassar sina medarbetarundersökningar och kundundersökningar utifrån GDPR. Kontakta datainspektionen om du vill säkerställa korrekta rutiner för just din undersökning.
Korrekta avtal och GDPRs längsta ord
GDPRs längsta ord är personuppgiftsbiträdesavtal (nio stavelser!) och detta är ett viktigt avtal för den som genomför undersökningar på uppdrag av någon annan. En kund som vill beställa en medarbetarundersökning behöver oftast ge undersökningsföretaget en lista på medarbetarnas e-postadresser och dessa räknas som personuppgifter. Här behövs ett personuppgiftsbiträdesavtal som reglerar vem som är personuppgiftsansvarig och vem som är personuppgiftsbiträde. Personuppgiftsansvarig är den som bestämmer att personuppgifter ska samlas in och vad de ska användas till och biträdet är den som på något vis behandlar uppgifterna på uppdrag av personuppgiftsansvarig.
P&Ms kunder är alltså ansvariga för personuppgifterna som lämnas till oss i form av exempelvis e-postadresser och P&M blir då biträdet. Därför skriver vi alltid personuppgiftsbiträdesavtal med våra kunder.
Men det stannar inte där för GDPRs längsta ord. P&M har ett system för utskick av undersökningar (ett system som även används av företag som Microsoft, FedEx och Disney, med väldigt höga säkerhetskrav) och därför behöver P&M även ett personuppgiftsbiträdesavtal med leverantören av det systemet. Till och med leverantören av vår telefonväxel behöver vi ett sådant avtal med eftersom vi där har telefonnummer till våra kunder.
Avtalet ska i enlighet med GDPR exempelvis reglera att biträdet:
- Endast hanterar personuppgifter enligt dokumenterad instruktion
- Tillämpar en hög säkerhetsnivå i rutiner och teknik
- Reglerar att de som hanterar personuppgifter iakttar konfidentialitet
- Bistår den ansvariga när någon registrerad vill utöva sina rättigheter enligt GDPR (läs mer om rättigheterna här)
- Bistå den ansvariga i frågor om säkerhet och ge den ansvariga möjlighet att kontrollera att biträdet fullföljer sina skyldigheter.